2025年12月22日,科技媒体曝光了一起利用微软OAuth 2.0设备授权流程的新型网络攻击,黑客正通过该漏洞绕过多因素认证(MFA)直接接管企业级Microsoft 365账户。攻击者精心设计钓鱼骗局,诱骗用户在手机上输入其提供的设备验证码,从而获取访问tokens并完全控制目标账户。值得注意的是,此类攻击活动自2025年9月起就已悄然活跃,攻击者频繁使用SquarePhish2、Graphish等高级钓鱼工具包,更因其发生在微软合法域名下,使得传统安全检测手段难以识别和拦截。
安全机构紧急提醒,企业必须加强OAuth代码使用的实时监控,建立更严格的访问控制机制。同时,所有员工都应提高安全意识,切勿随意输入收到的验证码,尤其要警惕来源不明的验证请求。面对这一新型威胁,微软已迅速推出”In Scope by Default”计划,旨在通过默认权限限制等措施增强平台安全性,有效遏制此类攻击行为。此次事件再次凸显了企业级账户安全的重要性,也警示各组织需不断升级安全防护体系,应对日益复杂的网络攻击挑战。